Aktualisiert: 30.03.2002: Anstelle von SMOOTHWALL tritt nun IPCop, zu finden
unter http://IPCop.sourceforge.net. IPCop
wird im Gegensatz zu SMOOTHWALL gepflegt und weiterentwickelt. Wichtige
BUGS, wie SSH...wurden beseitigt, DIAL on DEMAND mit ADSL funktioniert nun
korrekt. Zur Einrichtung von IPCop mit T-DSL siehe die FAQ. Have fun !!!!!
Aktualisiert: 20.02.2002: Firewall Kurse in Koeln fuer Smoothwall, LINUX
Firewall allgemein in Koeln, hier anmelden: Crashkurse
Link zum
Firewall Handbuch....
SMOOTHWALL
ISO - File (brennen, booten, fertig ..)
Bedienungshandbuch
Installations
- und Konfigurationshandbuch
Schulungen und Support
Aktualisiert: 14.02.2002: Alternativen zur Smoothwall bieten u.a. folgende
Systeme. Diese laufen nur auf Floppy oder FLASH-ROM...:
BBI Firewall (*****) http://www.BBIagent.Net/en/features.htm
FloppyFW -- http://www.zelow.no/floppyfw
Linux Router Project -- http://www.linuxrouter.org
Fli4l -- http://www.fli4l.de
FirePlug -- http://edge.fireplug.net
Coyote Linux -- http://www.coyotelinux.com
Aktualisiert: 12.02.2002: Die Fehlerdiagnose ist viel einfacher, wenn man
sich mit "tail -f /var/log/messages" die Fehlermeldungen in einem "root" -
Fenster an der Konsole oder über das SSH-Fenster im Webbrowser ansieht.
Aktualisiert: 01.02.2002: Eine persönliche Sicherheits-Analyse:
Zunächst
vielleicht ein paar Anmerkunden zum c't Artikel: Nach einer ausführlichen
Analyse der Smoothwall kam der Autor zu einem etwas vernichtenden Urteil
bezüglich der Sicherheit. Einer der Kritikpunkte war, daß das
Fernwartungsinterface, also die CGI-BIN Skripte, die auf den Apache
WWW-Server auf dem "GREEN" Interface laufen, ein Sicherheitsproblem
darstellen. Prinzipiell hat er Recht, er hat jedoch vergessen zu erwähnen,
daß der Angreifer sich bereits hinter der Firewall befinden müsste, also die
Firewall bereits überwunden haben müsste, um diese dann zu "knacken". Wenn
man also davon ausgeht, daß die Firewall stets von innen administriert wird,
liegt hier nicht das Problem.
Smoothwall hat mehrere andere Probleme:
1. Auf der Firewall sind per Default mehrere Module für Masquerading
installiert, die z.B. Quake, IRQ und ICQ aus dem LAN unkontrolliert ins
Internet erlauben. Diese sollten über die ROOT-Shell unbedingt entfernt
werden: In /etc/rc.networking diesen Modulen einfach ein "#" voranstellen,
und diese mit rmmod aus den Kernel zur Laufzeit entfernen. Neuboot ist dann
nicht notwendig. Es kann nicht angehen, daß ein Mitarbeiter auf einer
Arbeitsstation einen IRQ Client installiert hat, uns so Firmengeheimnisse
durch diesen IRQ Kanal ins Internet verschwinden.
2. Der Smoothwall fehlt z.B. ein Caching DNS Server, sodaß man beim Einsatz
von ISDN Dial on Demand arm wird. Da die Windows Workstations stets
Broadcasts versenden, wählt also die Smoothwall recht oft. Hier hilft das
Hinzufügen einiger Firewallregeln auf dem "GREEN" Interface per Hand (siehe
Firewallhandbuch), oder der Einsatz eines Linux Rechners mit Caching Proxy
bzw. DNS Caches (RedHat 7.x, Mandrake zu empfehlen), als zusätzlichen
Rechner im LAN.
3. Die Smoothwall arbeitet nicht Statefull, also läßt DNS UDP Port 53 Pakete
stets bidirektional zu einem DNS Server im Intranet oder der DMZ hindurch.
Ich möchte an dieser Stelle dringendst vor dem Einsatz einer älteren Linux
Distribution mit bind 4.x, 8.x als DNS -Server im Intranet warnen, dasselbe
gilt auch für NT 4.0/2000/XP Exchange Server bzw. AD Server. Cracker können
aus der ganzen Welt direkt über Port 53 UDP durch die Firewall auf diese Server zugreifen und
einen sog. "cache poisoning attack" durchführen. Hier bei werden z.B. die
MX - Einträge bezüglich der Intranet Zone im RAM (nicht den
Konfigurationsdateien) so verändert, daß alle Firmen-interne Mail prötzlich
in das Internet verschwindet. (FOCUS hatte vor zwei Jahren über einen
solchen Fall bei Siemens (mch.sni.de) berichtet, leider hatten die Siemens
Leute es nicht verstanden....) Diese Angriffe lassen sich nur durch den
Einsatz des DNS Servers DJBDNS unter UNIX/LINUX von D.J. Bernstein
unterbinden. Dieser Server sollte möglichst in der DMZ installiert sein,
wobei dann der Intranet DNS - Server als "forwarder" diesen eingetragen
haben sollte. Dieses Problem läßt sich durch Eingrenzung der möglichen
IP-Nummern, die auf Port 53 UDP der Firewall zugreifen dürfen etwas mildern,
Sicherheit bringen aber weder dies (der Cracker könnte z.B. auch auf DNS
Servern des Providers sitzen (was häufiger passiert)), noch der Einsatz
einer Statefull Firewall. Der Einsatz des DJBDNS ist die einizige sichere
Möglichkeit, IMHO.
4. Smoothwall besitzt keinen Virenfilter, weder für SMTP, noch HTTP oder
FTP. Von vielen als Nachteil betrachtet, sehe ich das persönlich etwas
gelassener, sofern ein Virenscanner auf dem Mail/Fileserver und auch den
Arbeitsstationen installiert ist. Zentrale Virenscaner in Firewalls kann man
äußerst einfach stilllegen, indem man z.B. eine 6 GByte große Datei erzeugt,
ein paar Virensignaturen (Siehe Firewall-Handbuch) dort hineinlegt, und
diese Datei dann mit Hilfe von WINZIP auf ca. 200 KByte verdichtet. So
20-30 dieser Mails dürften dann für jede Art Virenscanner auf einer Firewall
das Aus bedeuten, entweder mangels CPU Kapazitäten, oder mangels
Plattenplatz. Der Admin muß sich dann entscheiden, ob er diese dauerhaft
deaktiviert, oder die Firma halt offline ist. Virenscanner auf einer
Firewall sind manchmal recht einfach stillzulegen. Wer kennt da eine gute
Lösung (außer SOPHOS Antivirus ?)
5. In der SMOOTHWALL kann man das Logverhalten nicht individuell einstellen.
Schon nach mehreren Tagen dauert der Aufbau der LOG-Datei im Web-Interface
so lange, daß einem die Lust vergeht. Mit Hilfe von Kommando's, wie "grep
"suchstring" /var/log/messages|more" (Suche mit SHIFT-7) kann man sich jedoch
hervorragend über die ROOT-Shell behelfen.
6. T-DSL und DIAL ON DEMAND läuft inzwischen, ich verhandle noch mit Richard
Morell über die Veröffentlichung der Patches. Es kann nicht angehen, daß
seine kommerzielle Version der Firewal zwar von der GPL Version abstammt, er
sich aber weigert, diese Patches zu veröffentlichen, was er nach §2b
der GPL eigentlich müßte. Ich persönlich möchte so einem Komiker jedenfalls
nicht zuarbeiten.
6. SNORT ist ein Expertensystem, welches ständig mit neuen Signaturen
gefüttert werden muß. Was diese skurile Updatefuktion tut, und was passiert,
wenn jemand Richard Morell den Webserver knackt und dort ein zerstörerisches
oder die Firewall transparent schaltendes Update installiert,
möchte ich mir nicht ausmahlen. Microsoft mit seinen obskuren Service-Packs
genügt mir vollauf. Man sollte die Updatefunktion niemals nutzen, und stets
dafür sorgen, daß man die originalen Snortdateien aufspielt. (Prüfsummen
beachten !!!!!)
7. SMOOTHWALL wird weiter supportet und weiter entwickelt, jedoch unter
einem anderen Namen. Richard Morell nannte mich persönlich "fucking nazi
muppet (Siehe auch Newsgroups), weil er offensichtlich zu spät begriffen
hatte, daß sein Namensschutz "SMOOTHWALL" bei der EG zwar angemeldet ist, er
jedoch SMOOTHWALL unter GPL gesetzt hatte....also auch den Namen. SMOOTHWALL
wird also in jedem falle weiter entwickelt, im Moment unter dem Namen IPCOP,
zu finden unter http://www.ipcop.org/cgi-bin/twiki/view/IPCop/IPCopFAQ
Aktualisiert: 02.01.2002: Compaq Server Hardware Probleme
Die Netflex-Karten von Compaq machen immer Ärger im Netzwerk.
Sie arbeiten sehr langsam in einigen Umgebungen und häufig 'ruckelt'
das Netzwerk, bzw. der Datendurchsatz ist nur schubweise vorhanden.
Workaround für Leute mit T-DSL mit Flatrate: Standleitung angekreuzt,
Verbinden bei Neustart angekreuzt, alle anderen aus. Wenn man Dial-On-Demand
aktiviert, ist eine Einwahl nicht möglich, wir suchen gerade nach der
Lösung.
Smoothwall 0.9.9se ist identisch zu smoothwall 0.9.9 + patch6 (beinhaltet
auch alle vorhergehenden Patches, die Installation von SMOOTHWALL 0.9.9 +
Klick auf den Update Button genügt auch ...)
Aktualisiert: 20.12.2001: BUGS in SMOOTHWALL
Performance - Probleme mit 3COM 3c900 XL - Karten...
ASUS P2B-LS läuft, erkennt bei Autotest die INTEL Onboard - Karte nicht, muß
also manuell nachinstalliert werden.
Bei der Installation mit Floppy über http muß man das smoothwa.tgz in
smoothwall.tgz umbenennen. (Danke an Oli !)
Aktualisiert: 17.12.2001: BUGS in SMOOTHWALL
Aktualisiert: 12.12.2001: Liste von unterstützter Hardware (GS),
Troubleshooting mit TokenRING (GS), IPSec ohne AH (GS)
Neue, kaum zu schlagende Linux Firewall für ISDN + T-DSL mit VPN unter GPL verfügbar !!!!
Nachdem ich so einige Erfahrungen mit Firewalls gemacht habe, wie z.B. RAPTOR Eagle, Checkpoint Firewall-1, SecureLink , Astaro, SuSE Firewall und auch einigen GUI's for Kernel 2.2 und 2.4, wie
GUARDDOG,
FIRESTARTER,
KNETFILTER,
IPMENU, oder einfach nur Skripten wie rc.firewall (http://www.freshmeat.net), möchte ich einmal kurz die SMOOTHWALL beschreiben:
Leider hat SMOOTHWALL auch einige dicke BUGS, mehr dazu am Ende ....Richard
Morelli is leider nicht bereit, diese in der Liste zu veröffentlichen....
1. SMOOTHWALL ist ein auf ein Minimum abgespecktes RedHat - Linux mit Kernel 2.2 und bereits integriertem IPSec VPN Modul,
also von den Fähigkeiten her mindestens völlig gleichwertig zu SuSE
Firewall, ASTARO und Securelink Firewall, jedoch völlig idiotensicher auch
für DAU's, Mausschubser oder Microsoft Certified Entertainer ;-)) zu
bedienen. Kompatibilität zu Checkpoint Firewall-1 3.0+, CISCO PIX, Microsoft ISA Firewall - Server (Proxy II) und vielen anderen ist gewährleistet. Mit kleinen Änderungen funktioniert VPN
(nach Patch) auch mit dynamischen IP-Nummern auf der einen Seite, die andere *muß* statische IP-Nummern besitzen.
Filialen, die jeweils mit statischer IP-Nummer angeschlossen sind, können
direkt miteinander (out of the BOX) mit einem IPSec - VPN verbunden werden.
2. SMOOTHWALL ist vollständig über eine GUI mit Hilfe von SSL zu administrieren, also auch ähnlich SuSE
Firewall, Securelink, Checkpoint oder Astaro. Fernwartung kann über einen IPSec Client oder via SSH bzw. HTTP+SSL erfolgen.
3. SMOOTHWALL hat einen filternden PROXY eingebaut, der Schweinkram aus dem Internet entfernen kann. Filterlisten
via Mail .......
4. SW hat SNORT, ein IDS (Intrusion Detection System) auf Intranet - Seite eingebaut.
5. SW führt Statistiken über den Traffic, die Anzeige ist mit vielen Grafiken
untermalt, ähnlich MRTG. Ein interessantes Feature für Provider.
6. SW bietet Alarming in verschiedensten Varianten.
7. SW bietet Masquerading, PortForwarding (DMZ/Intranet möglich)
8. Smoothwall unterstand einem anderen Copyright und kostete viel Geld, bis Richard Stallmann von der FSF (GNU Software) den Jungs angedroht hat, die Rechte an der Nutzung von Linux zu entziehen. Nun ist die Firewall GPL. Ich möchte fast behaupten, daß dies SuSE, Astaro und Securelink auch bald bevorsteht.
Diese Firmen unterstellen ihr Software nicht der GPL, um
Wiederverkäufern das Handwerk zu legen, obwohl nach § 2b der GPL sie dieses
tun müßten. Kopieren, weiterverbreiten der CDROM/DVD's ist also bei diesen
Herstellern nicht gestattet. RedHat, Debian und natürlich SMOOTHWALL sind
hier ohne Probleme. Man darf und soll soviel kopieren, wie man kann....;-)
9. Smootwall wird komplett kostenlos mit deutschen Handbüchern auf dem Server http://www.smoothwall.org angeboten, Spenden ausdrücklich erwünscht.
10. Smoothwall ist sehr einfach zu installieren: Von einem nur 20 MByte !!! großen ISO-File erzeugt man sich eine bootfähige CD, gibt einige Paßworte ein, die Netzwerk-Koordinaten (Netzwerk rot=internet, orange=DMZ, green=Intranet), und nach ca. 10 Minuten ist die Firewall einsatzbereit mit VPN, DMZ, Fernwartungs-Interface...u.s.w.
11. SW wird komplett mit Sourcecode geliefert, inclusive den Sourcen für die
GUI, also ***KEINE*** mysteriösen Funktionen oder Backdoors (CISCO, Checkpoint http://www.dataprotect.com/bh2000/ ) mehr enthalten ...
12. Es sind recht viele Module für spezielle PROXY-Services aktiviert - die muß man leider noch per Hand deaktivieren... Port 113 PORT Weiterleitung für AUTH - Dienste sollte man auch deaktivieren....
13. IPCHAINS ist inzwischen, nach so vielen Jahren recht solide. Die Durchsatzraten dieser Firewall liegen in einem Netzwerk mit 3x 100 MBit fast bei 80%.....vom Max....
14. SW arbeitet mit ISDN- Dialin und auch T-DSL .... (getestet, nach Installation läufts sofort...)
15. Kostenlos ist immer gut, idiotensicher noch besser, Handbuch noch besser.....VPN noch geiler .....Kommerzielle Firewallhersteller, packt ein, sucht Euch einen neuen Job.......;-))
16. Kostenloser und auch kostenpflichiger Support (für die, die unbedingt Wert auf Wartungverträge, teuren Support und hohe Anschaffungskosten legen, weil die denken, daß sie dann mehr Sicherheit erhalten) in Deutschland, Belgien und Holland ist verfügbar.... mailto: stepken@little-idiot.de ...ich vermittle gerne weiter ...oder helfe auch einfach nur bei Fragen ......Desweiteren wird auch von verschiedensten Firmen angeboten, die Sicherheit von Firewalls zu testen, bzw. zu überwachen ...Firmen, die ebenfalls Support anbieten möchten, mögen sich noch bei mir melden ....
17. SMOOTHWALL 2.0 für Linux Kernel 2.4 ist bereits verfügbar, jedoch noch im final Test. SMOOTHWALL 0.9.9 läuft im Moment äußerst zuverlässig.
18. Schulungen zu SMOOTHWALL über 3 Tage finden nun regelmäßig ab 2002 1x monatlich in Aachen, Köln, Düsseldorf und München statt. Mehr unter http://www.little-idiot.de/crashkursus.html
Natürlich gibt es da noch einige Risiken, die jedoch bei allen Firewalls existieren, wie z.B. Virenscanner (nachrüstbar, kein Problem), DNS UDP Probleme (cache poisoning), die aber durch eine richtige Archtitektur lösbar sind. Microsoft Workstations oder Webserver damit schützen zu wollen, das klappt jedoch mit keiner Firewall so richtig ....;-))
Leider existieren noch ein paar kleine Probleme, die hier auch nicht
verschwiegen werden sollen:
1. Die Installation resiert die Festplatte komplett, aber eine 500MByte Platte sollte jeder noch irgenwo auftreiben können ....die ist mehr als
ausreichend....
2. Leider gibt es noch einige Probleme mit D-DSL und
automatischer Einwahl, weswegen die SMOOTHWALL nur mit S-DSL Standleitung oder
T-Interconnect einsetzbar ist. T-DSL Flatrate geht aber auch. Patches sind aber in Vorbereitung.
Bei ISDN Dial-On Demand kann man unter dem Menü DIALUP den Timeout genau
einstellen.....alternativ habe ich schon Patches für DoD mit T-DSL in
Vorbereitung (läuft schon)
3. Die Firewall ist nicht "statefull", was normalerweise nicht viel aussagt,
jedoch sollte man unbedingt als DNS Server im Intranet den DNS-Server DJBDNS
von D.J. Bernstein einsetzen. Dieser besitzt, da er unter dem Aspekt der
Sicherheit programmiert ist, kein Buffer - Overflow - Problem, und dieser weiß
sich auch gegen Cache-Poisoning zur Wehr zu setzen. BIND 4, BIND 8 unter
UNIX/Linux, insbesondere alle, die älter als ein paar Monate sind, müssen unbedingt
entfernt, oder geupdatet werden. Leider konnten, wie ich
vielfach festgestellt habe, Hacker DNS-Server von Providern in Besitz
nehmen, und viel Unheil stiften. Täglich ca. 20-30 mal registriere ich auf einigen
Honeypots konkrete Angriffe, die zumeist aus Korea oder Russland kommen.
Eine Statefull Firewall kann gegen diese Probleme leider auch nicht
schützen.....der fehlende DNS-Proxy auf der SMOOTHWALL macht diese Maßnahme
aber unbedingt erforderlich.
4. Smoothwall besitzt eine IP-Nummer Richtung Internet, es können Ports von
dieser IP Richtung DMZ bzw. Intranet (Achtung gefährlich !! Aber interessant
für gelegentliche Fernwartung von Intranet-Servern....;-)) Mehrere virtuelle
Netzwerke oder mehrere IP-Nummern beherrscht leider SMOOTHWALL nicht.
Hierfür empfehle ich den Einsatz von Redhat Linux 7.2 mit der eingebauten
Firewall (jaja, mit GUI, T-DSL, ISDN) oder dem Aufsatz GUARDDOG oder
KNETFILTER...Wer ASCII-GUI's mag, und zusätzlich noch Bedarf nach QoS hat,
der kann auch ipmenu von David Stesunter RedHat einsetzen .... Auch hierfür
sind Handbücher verfügbar.
5. Hier die Liste von benötigter/erkannter Hardware (ohne Garantie !)
Keine SCSI Systeme - ATBUS reicht völlig aus, und wird als einziges
unterstützt.
RAID Kontroller von IBM oder COMPAQ funktionieren eh nicht zuverlässig.
Grafikkarten - ohne Belang - die billigste Karte ist die beste, auch uralt -
Karten sind hervorragend.
RAM - 16 MByte sind ausreichend, 32 MByte mit PROXY sinnvoll.
CPU - das IDS System SNORT ist ein riesiger Resourcenfresser - ein P 450
sollte es beim Einsatz von SNORT schon sein, bei Einsatz von PROXY genügt
ein P75 bereits. Nur Firewalling - 486-50 mit 16 MByte bei 10 MBit, P-66 mit
PCI für 100 MBit. Schnelle Pentiums sind herausgeschmissenes Geld, die
drehen eh Däumchen.
Hier die Liste von Netzwerkkarten:
3COM - Karten fast alle....;-)
EL1 ja
EL2 ja
ELPLUS ja
EL16 ja
EL3 ja
3C515 ja
VORTEX ja
LANCE ja
WD80x3 ja
ULTRA ja
ULTRA32 ja
SMC9194 ja
NI5010 ja
NI52 ja
NI65 ja
RTL8139 ja
AT1700 ja
E2100 ja
DEPCA ja
EWRK3 ja
EEXPRESS ja
EEXPRESS_PRO ja
FMV18X ja
HPLAN_PLUS ja
HPLAN ja
HP100 ja
ETH16I ja
NE2000 ja
SEEQ8005 ja
SK_G16 ja
NET_EISA ja
PCNET32 ja
AC3200 ja
APRICOT ja
CS89x0 ja
DM9102 ja
DE4X5 ja
DEC_ELCP ja
DGRS ja
EEXPRESS_PRO100 ja
LNE390 ja
NE3210 ja
NE2K_PCI ja
TLAN ja
VIA_RHINE ja
SIS900 ja
ES3210 ja
EPIC100 ja
DE600 ja
Ethernet (1000 Mbit) - Unterstützung auf Anfrage möglich
Probleme jedoch im Filtermodul wegen large frames.
FDDI - Unterstützung auf Anfrage
Token-Ring - Unterstützung auf Anfrage
Weitere BUGS oder Probleme bitte an mailto:stepken@little-idiot.de
mailen, ich hoffe, eine schnelle Fehlerlösung anbieten zu können ...
Gru/3 an alle, have fun beim Testen über die Feiertage... Guido Stepken
Hier nun die Begründung, warum die BUGS geheimgehalten werden....
....
I have sent this off to the submissions department to be evaluated. They
will reply to you to get more specifics. I am not going to approve it to
the list until they have had a chance to verify that these things are
"solved", but some of what you have solved, are the things we have in the
corporate version, and so putting them in the GPL version prevents us a
chance to make a living.
So many people tell us they don't want us to ask for money for GPL, this
will only ensure that we can't make money with the commercial either.
I believe I also said in the first reply that sales@smoothwall.org does send
a receipt to those who donate, but that is also not handled by this list,
but by them.
Rebecca Ward
Worldwide Online Manager
Smoothwall Users List Co-Moderator
----- Original Message -----
From: "stepken"
To:
Sent: Monday, December 17, 2001 9:15 AM
Subject: BUGS, BUGS, Solutions ....
>
>
> Hi !
>
> There are several problems (some of them solved already !) with smoothie
...
> perhaps these could be solved in 0.9.9 GPL -> 1.0.0 GPL :
>
> 1. Many drivers for network cards were removed. Tokenring is urgently
needed.
> (solved !)
> 2. Many Networks/IP on RED (unsolved, patch 4 disappeared....)
> 3. Replacement of Network cards is unnoticed by setup routine, old drivers
> still appear, although new drivers are detected (unsolved)
> 4. IPSec Masquerade + Forward disabled ....
> 5. Instead unsafe GRE tunnel is allowed ....
> 6. Ping from SMOOTIE on Compaq Hardware works, but very slow and with a 30
> seconds delay ? Any others out there, who also discovered that bug ?
> (unsolved)
> 7. IPSec VPN from dynamic IP to static -IP Firewall now possible (disable
AH
> in Kernel, rebuild smoothie and configure IPSec Client to ignore
AH...(solved)
> 8. IPSec debug mode on .....why ?
> 9. SLIP Protocol in Kernel, why ?
> 10. BSD compression with PPP disabled, why ?
> 11. Support for many motherboard chipsets is disabled, why ?
> 12. SYNCookies Support is disabled, hmmm any reason ?
> 13. ADSL dial on demand Problem (solved, needed patches for pppoe....)
> 14. SNORT update of attack knowledgebase unsolved......where can i
configure
> where to upload periodically from ?
> 15. DoS attack on 2.2.19 possible .... kernel hackers are informed...
> 16. PPTP tunnel needed.....
> 17. Masquerade für real dangerous clients in LAN should be disabled (IRC
> !!!!!!) Selection of masquerading modules should be possible
> 18. There is a real threat with Port 113 open to intranet and Linux Server
> with identd running.... buffer overflow through firewall is possible. The
> correct solution is to reject port 113 with ICMP port unreachable
..message,
> not drop because of timeouts.....(solved).
Link zum
Firewall Handbuch....
SMOOTHWALL
ISO - File (brennen, booten, fertig ..)
Bedienungshandbuch
Installations
- und Konfigurationshandbuch
Schulungen und Support